Корпоративные кошельки Coinbase опустошены на $300K из-за эксплуатации MEV

Краткое описание инцидента

14 августа 2025 года корпоративный кошелек крупной криптовалютной биржи был скомпрометирован на сумму около 300 000 долларов. Причина инцидента заключалась в непреднамеренном предоставлении разрешения на токены контракту без ограничений в протоколе 0x. В течение нескольких минут после ошибки в настройках разрешений MEV-боты обнаружили повышенные права и выполнили транзакции, переведя весь объем разрешенных токенов с кошелька.

Механика эксплуатации

Взлом произошел из-за того, что при изменении корпоративного децентрализованного кошелька биржи не были отозваны прежние одобрения токенов. Исследователь безопасности под псевдонимом «deeberiroz» первым выявил уязвимость в социальных сетях, продемонстрировав, как боты могут оставаться в ожидании подобных возможностей. После активации разрешения боты опередили блок, отправив транзакции, которые перевели одобренные токены напрямую на адреса злоумышленников.

Роль MEV-ботов

MEV (Maximal Extractable Value) боты специализируются на извлечении прибыли путем переупорядочивания, опережения или «сэндвичинг» транзакций в мемпуле. В данном случае боты были запрограммированы на мониторинг кошельков с высокими балансами при одобрении контрактов. Как только появилась возможность, боты выполнили переводы в том же блоке, не оставив времени для ручного вмешательства.

Реакция биржи и влияние на клиентов

Глава службы безопасности Coinbase подтвердил, что эксплуатация ограничилась корпоративными кошельками для получения комиссий и не затронула счета клиентов. Биржа немедленно отозвала ошибочное одобрение и начала внутренние аудиты. Все затронутые токены полностью принадлежали бирже и были частью процесса накопления комиссий, поэтому активы клиентов не были под угрозой.

Рекомендации по безопасности

Эксперты рекомендуют тщательный аудит одобрений контрактов и управление разрешениями. Ключевые меры включают разделение корпоративных кошельков от горячих и холодных хранилищ, внедрение автоматических оповещений о необычных разрешениях на токены и использование аппаратных модулей для критически важных одобрений. Регулярные проверки безопасности и аудиты сторонними организациями могут дополнительно сократить окно уязвимости.

Влияние на индустрию

Инцидент подчеркивает продолжающиеся проблемы в обеспечении безопасности ончейн-операций от автоматизированных атак. Ожидается, что все больше бирж и DeFi-платформ пересмотрят процессы одобрения и интегрируют системы аварийного реагирования. Развитие MEV-стратегий требует улучшения инструментов прозрачности для информирования пользователей при отклонениях в одобрениях от нормы.

Заключение

Хотя финансовое воздействие на Coinbase было незначительным относительно общих резервов, данный инцидент демонстрирует, как небольшие ошибки в настройках могут привести к существенным потерям. Более широкая индустрия, вероятно, усилит внимание к системам управления разрешениями и проактивному мониторингу для предотвращения подобных угроз в будущем.